內容簡介
此外掛使用 PHP header() 函數為 wp-login.php 頁面添加額外的保護層,使用 HTTP Digest Authentication。因此,它不需要像.htaccess 或者 .htdigest 這樣配置網絡服務器文件,可適用於所有網頁主機環境。
重要提醒:如您已經安裝使用 HTTP 驗證的其他外掛,請在啟用此外掛之前先停用,或者在使用此外掛之前請刪除您已經在 web 伺服器上對 wp-login.php 文件進行的 HTTP 驗證。
如果您正在使用 FastCGI PHP,此外掛在您輸入正確的憑證時可能會持續提示輸入帳號和密碼,此時,請在您的 .htaccess 文件中添加以下代碼:
<IfModule mod_setenvif.c>
SetEnvIfNoCase ^Authorization$ "(.+)" PHP_AUTH_DIGEST=$1
</IfModule>
HTTP Digest Authentication 的優點
HTTP Digest Authentication 比起使用可以透過base64解碼器很容易解碼出來的 HTTP Basic Authentication 還要更為安全。
當使用服務端點供給靜態資源時,HTTP Basic Authentication 不能防止未授權的訪問(如未驗證下載),而此外掛就可以支持此功能。
HTTP Digest Authentication 可以使用MD5加密機制,使其成為“單向”加密。
使用服務器和客戶端Nonce(隨機數據串,以作為單次隨機數據使用)防止重放攻擊
HTTP Digest Auth 外掛功能
使用 PHP header() 函數工作,不需要修改服務配置文件(如 .htaccess, ngin.conf 等)
支持每個WordPress用戶的HTTP憑證
當用戶從 WordPress 登出時,會清除HTTP Digest憑證 (有關這一點請參見問題解答)
確認 HTTP 和 WordPress 憑證是同一個用戶(這是默認行為,可以更改)
適用於所有主要Web服務器(在 Apache、Nginx 和 Lighttpd 上測試過)
外掛的使用行為
當您第一次啟用此外掛時,所有WordPress用戶將具有以下的摘要憑證
使用者名稱:<WordPress用戶名稱>
密碼:密碼
您可以從使用者 -> 您的個人資料中更改這個設定。
啟用後,您會在登出時被提示輸入 HTTP 憑證,並且如果您更改了您的 HTTP 用戶名或密碼,您也會在登出時被提示輸入該憑證。
可用的語言
英文
塞爾維亞克羅地亞語,由 Borisa Djuraskovic 翻譯
更多關於HTTP Digest Authentication Plugin官方說明頁面。
外掛標籤
開發者團隊
原文外掛簡介
This plugin adds an additional layer of protection for the wp-login.php page using HTTP Digest Authentication with the PHP header() function.
So it doesn’t require configuring web server files like .htaccess or .htdigest and works on all web hosting environments.
Important: If you already have a plugin which does HTTP Authentication please deactivate it before activating this plugin. Similarly if you have configured your web server to do HTTP authentication on the wp-login.php file please remove it before using this plugin.
If you are using FastCGI PHP this plugin may keep prompting for the credentials even if you enter the right pair, in this case use the following in your .htaccess file
SetEnvIfNoCase ^Authorization$ "(.+)" PHP_AUTH_DIGEST=$1
Advantages of HTTP Digest Authentication
Digest Authentication is very much safer than HTTP Basic Authentication whose credentials can be easily decoded with a base64 decoder.
From Wikipedia on HTTP Basic Authentication:
The BA (Basic Authentication) mechanism provides no confidentiality protection for the transmitted credentials. They are merely encoded with BASE64 in transit, but not encrypted or hashed in any way.
Digest Authentication on the other hand uses MD5 on the credentials making it “one way”
Uses server and client nonces to prevent replay attacks
Features of the HTTP Digest Auth plugin
Works using PHP header() function and doesn’t require modification of service config files (like .htaccess, nginx.conf etc)
Supports HTTP credentials for each WordPress user
Clears the HTTP Digest credentials when the user logs out of WordPress (more on this in the FAQ)
Verifies if both the HTTP and WordPress credentials are of the same user (this is the default behavior and can be changed)
Works on all major Web Servers (Tested on Apache, Nginx and Lighttpd)
Plugin Behavior
When this plugin is activated for the first time all WordPress users will have the following Digest credentials
Username:
Password: password
This can be changed from Users > Your Profile.
After activating this plugin for the first time you’ll be prompted for HTTP credentials when you logout
Similarly if you change your HTTP username or password you’ll be prompted for this when you logout
Available languages
English
Serbo-Croatian by Borisa Djuraskovic
The HTTP Digest Authentication Plugin official homepage.
